在 IBM WebSphere Portal 和 IBM Lotus Domino 之 间配置单点登录（SSO）

### 在 IBM WebSphere Portal 和 IBM Lotus Domino 之间配置单点登录（SSO） #### 重要概念及背景 在深入探讨具体配置步骤之前，首先需要理解单点登录（Single Sign-On，简称SSO）的基本概念及其在IBM WebSphere Portal与IBM Lotus Domino间的应用。 **单点登录（SSO）**是一种身份验证机制，允许用户通过一次认证即可访问多个应用程序和服务。在企业环境中，SSO可以极大地提高用户体验、安全性以及管理效率。 **IBM WebSphere Portal** 是一种企业级的门户解决方案，用于构建和部署企业门户。它提供了一套完整的工具和服务，用于集成各种企业应用程序和服务。 **IBM Lotus Domino** 是一款综合性的协作平台，提供了电子邮件、日历、文档管理等功能。它广泛应用于企业内部的通信和协作。 #### 配置步骤详解 为了在IBM WebSphere Portal和IBM Lotus Domino之间实现SSO，需要按照以下步骤进行操作： ##### 2.1 从WebSphere Portal导出LTPA密钥 **Lightweight Third-party Authentication (LTPA)** 是一种轻量级的身份验证机制，主要用于实现跨域的SSO。为了配置SSO，首先需要从WebSphere Portal导出LTPA密钥文件。 - **步骤**： - 打开浏览器并导航至WebSphere Application Server Admin控制台。 - 选择 **Security > Secure administration, applications, and infrastructure**。 - 在 **Authentication** 下选择 **Authentication Mechanisms**，然后滚动到页面底部的 **Cross-cell single sign-on**。 - 输入用于存储密钥文件的密码和文件路径，点击 **Export keys** 按钮完成导出。 **注意事项**：不要点击 **Generate keys** 按钮，因为这会更改当前使用的密钥，可能导致SSO失效。 ##### 2.2 将LTPA密钥文件导入到Lotus Domino - **步骤**： - 使用Domino Administrator客户端连接到Domino服务器。 - 导航至 **Security > Single Sign-On**。 - 选择 **Import LTPA Key File**，然后选择之前从WebSphere Portal导出的密钥文件进行导入。 **注意事项**：确保使用正确的密钥文件，错误的密钥文件会导致SSO失败。 ##### 2.3 配置Domino服务器以支持多服务器SSO 为了确保Domino服务器能够支持跨多个服务器的SSO，需要进行额外配置。 - **步骤**： - 在Domino Administrator客户端中，选择 **Servers > Server Document**。 - 选择目标Domino服务器，然后进入 **Internet Sites** 标签页。 - 在 **Single Sign-On** 部分，勾选 **Enable Single Sign-On** 并指定SSO URL。 - 如果环境中有多个服务器，则需要确保所有服务器上的SSO设置一致。 ##### 2.4 禁用令牌重新生成（版本6.1.x） 对于WebSphere Portal 6.1.x版本，需要禁用令牌重新生成功能以确保SSO的稳定性。 - **步骤**： - 返回WebSphere Application Server Admin控制台。 - 选择 **Security > Secure administration, applications, and infrastructure**。 - 在 **Cross-cell single sign-on** 部分，取消勾选 **Regenerate keys every 90 days** 选项。 **注意事项**：此设置只适用于6.1.x版本，更高版本可能不需要进行这项配置。 ##### 2.5 同步目录 为了确保WebSphere Portal和Lotus Domino之间用户身份的一致性，还需要同步目录。 - **步骤**： - 确保WebSphere Portal和Domino服务器使用相同的用户目录。 - 使用 **Directory Synchronization** 工具来同步目录。 #### 测试SSO 配置完成后，接下来需要验证SSO是否按预期工作。 - **测试方法**： - 登录到WebSphere Portal并尝试访问一个需要Domino身份验证的应用程序或服务。 - 观察是否能够无缝访问而不需再次输入凭证。 #### 结束语 通过上述步骤，您可以在IBM WebSphere Portal和IBM Lotus Domino之间成功配置SSO。这种配置不仅可以提高用户体验，还可以增强系统的安全性，并简化管理过程。如果遇到任何问题，请参考IBM官方文档或寻求专业支持。 #### 参考资料 - IBM developerWorks 文档 - IBM WebSphere Portal 官方文档 - IBM Lotus Domino 官方文档 #### 关于作者 Charles Price是一位在IBM Software Group工作的顾问软件工程师，专注于Domino Portal Integration领域。他拥有丰富的经验，在SSO配置和测试方面具有深厚的造诣。